Cerber 2, 3, 4: Описание и вариации

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 7 авг 2016.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Версия 2 шифровальщика Cerber была обнаружена несколькими исследователями, которые наблюдали за ним в течение прошлого месяца. Получили распространение версии 1.5 и 2. Оставляем описание v.1.5 для антивирусных компаний и сразу переходим к версии 2.0.

    Cerber 2.0 имеет ряд существенных изменений от предыдущей версии, как внутренних, так и внешних.

    Осталось без изменений:
    Названия записок о выкупе не изменились. Как и прежде, Cerber проверяет локализацию ПК и не шифрует файлы в ПК пользователей из стран: Азербайджан, Армения, Беларусь, Грузия, Казахстан, Кыргызстан, Молдова, Россия, Таджикистан, Туркменистан, Узбекистан, Украина. Ряд языковых локализаций проверяется еще по кириллице и латинице.

    Внешние изменения:
    Зашифрованные файлы теперь получили новое расширение .cerber2, вместо .cerber.
    На exe-файл взят значок из детской игры под названием Anka. Его наличие некритично.
    Изображение, меняющее обои рабочего стола имеет серый фон с зеленым текстом.
    Оплошность, позволявшая ранее дешифровать зашифрованные файлы, была исправлена.
    cerber2-encrypted-files.png
    anka-icon.png
    ransom-note-background.png

    Внутренние изменения:
    Шифровальщик теперь получил упаковщик, чтобы осложнить обнаружение и анализ.
    Для генерации ключа шифрования стала использоваться API CryptGenRandom Microsoft.
    Ключ генерируется теперь на 32 байта, а не 16 байт, как было в предыдущей версии.
    Файловых расширений, подвергающихся шифрованию, в новой версии стало аж 456.

    Не шифруются файлы:
    boot.ini
    bootsect.bak
    desktop.ini
    iconcache.db
    ntuser.dat
    ntuser.dat.log
    ntuser.ini
    thumbs.db

    Перед шифрованием завершаются процессы:
    excel.exe / infopath.exe / msaccess.exe/ mspub.exe / onenote.exe / outlook.exe / powerpnt.exe / winword.exe / visio.exe / wordpad.exe / steam.exe / sqlservr.exe / thebat.exe / thebat64.exe / thunderbird.exe

    У Cerber v.2 в коде прописаны названия исполняемых модулей антивирусов: ArcaBit, ArcaVir, Avast, Bitdefender, Bullguard, CA, Emsisoft, ESET, eScan, eTrust, F-Secure, G Data, Kaspersky, Lavasoft, TrustPort. Т.е., если он обнаружит на ПК их присутствие, то просто сам не станет запускаться.

     
    lilia-5-0, Охотник и Kиpилл нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Подробный доклад по Cerber RaaS и дешифровка Cerber v1 и 2

    Check Point Software провели немалую работу по исследованию инцидентов, связанных с деятельностью Cerber 1 и Cerber 2 в разных странах. Их результаты отражены в подробном исследовательском отчёте и в создании сервиса дешифровки. Его можно скачать с сайта Check Point.

    Доход от партнерской системы работы Cerber RaaS ошеломляет, это $195000 прибыли за июль, из которой разработчики RaaS берут себе 40%. Это составляет $78000 прибыли разрабов вредоносов в июле и сулит им $946000 в прогнозе на год!

    Разработчики Cerber управляют C&C-серверами, партнерской системой, центром поддержки дистрибьюторов-аффилятов, а также получают доход от программирования новых вымогателей, в то время как филиалы распространяют вымогателей, чтобы заражают своих жертв по всему миру.

    Для того, чтобы объяснить, как работает партнерская система Cerber RaaS, Check Point выпустила инфографику, представленную ниже.
    цербер.JPG

    Мониторинг деятельности Cerber RaaS позволил выявить различные кампании по распространению, выполняемые филиалами Cerber для заражения жертв. Начав с кампании по распространению эксплойтов по email, Cerber показал стратегию развития, дойдя до распространения Ransomware-инсталляторов. Как можно видеть на картинке ниже, для распространения Cerber широко использовали наборы эксплойтов Rig, Neutrino и Magnitude, причем Magnitude EK тут был в явном фаворе.
    Figure9[1].jpg

    Благодаря работе Check Point бесплатная дешифровка зашифрованных Cerber/Cerber2 файлов теперь возможна. Но, к сожалению, как это часто бывает, разработчики тоже уже могли прочитать доклад исследователей и обнаружить использованные для дешифровки прорехи, потому, вероятно, уже закрыли дыру в безопасности в своей системе или сделают это в ближайшее время. Затем они могут изменить мастер-ключ дешифрования, чтобы будущие жертвы Cerber-ов не смогли использовать декриптор от компании Check Point.

    Несмотря на это, множеству людей в настоящее время будет оказана помощь в дешифровке, потому это настоящая победа хороших парней!

     
    Последнее редактирование: 17 авг 2016
    lilia-5-0 и Охотник нравится это.
  3. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Cerber начал использовать расширение .cerber3 для зашифрованных файлов.

    Cerber 3 является продолжением Cerber 2 и также использует диапазон IP-адресов 31.184.234.0/23 для целей статистики.

    Файлы, играющие роль записок с требованиями выкупа, теперь называются:
    # HELP DECRYPT #.html
    # HELP DECRYPT #.txt
    # HELP DECRYPT #.url
    encrypted-files.jpg
    Рис. Зашифрованные файлы и записки о выкупе теперь выглядят так.
     
    Последнее редактирование модератором: 31 авг 2016
    lilia-5-0 и Охотник нравится это.
  4. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Я, оказывается, совсем забыл тогда разместить скриншоты элементов Cerber 3.

    cerber3-0-0.jpg
    Рис.2. Верхняя часть записки о выкупе

    cerber3-0-1.jpg
    Рис.3. Скринлок, встающий обоями рабочего стола

    cerber3-0-3.jpg
    Рис.4. Капча, которую поставили дэвы Cerber-а на своем сайте оплаты дешифровки, после взлома и дешифровки 1-2-й версий.
    ***************************************************************************
    Теперь, всвязи с выходом ещё более новой версии Cerber-а, будет с чем сравнивать.
     
    lilia-5-0 и Охотник нравится это.
  5. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Ребильд Cerber (Cerb3r) Ransomware

    Новые записки о выкупе:
    @___README___@.txt
    @___README___@.html
    @___README___@.url

    Размещение новых записок о выкупе:
    %USERPROFILE%\Desktop\@___README___@.txt
    %USERPROFILE%\Desktop\@___README___@.html
    %USERPROFILE%\Desktop\@___README___@.url

    Удаление теневых копий файлов
    %WINDIR%\system32\wbem\wmic.exe shadowcopy delete

    note1-1-0.jpg
    + плюс ещё 7 экранов текста
    В тексте указаны еще старые названия записок о выкупе.

    note-wall.jpg
    Скринлок. Адреса после "/" изменились.

    upload_2016-9-16_22-1-38.jpeg
     
    Последнее редактирование модератором: 16 сен 2016
    lilia-5-0 и Охотник нравится это.
  6. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Рост вымогательской инфекции CERBER

    cerber-progress.jpg
     
    lilia-5-0 и Охотник нравится это.
  7. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.467
    Симпатии:
    861
    Сайт Ammyy Admin был взломан и распространял шифровальщик Cerber 3
    Официальный веб-сайт программы удаленного доступа Ammyy Admin был подвергнут атаке и использовался для распространения вредоноcной программы на протяжении неопределенного времени
    Портал Softpedia обнаружил проблему после получения тревожных комментариев от пользователей, которые сообщали о заражениях после использования сайта Ammyy Admin.


    [​IMG]

    Вот что сообщали пользователи:
    После получения комментариев Softpedia сразу же связалась с Лоуренсом Адамсом (Lawrence Abrams), представителем портала Bleeping Computer, и провела тестирование для анализа заражения и выяснения, что именно не так с сайтом.
    Все тесты имели негативные результаты, но сегодня исследователь безопасности из команды MalwareHunterTeam сообщил Softpedia, что эти усилия были напрасны, потому сайт стал распространять чистый установщик, начиная с 14 сентября 21:00-23:00 по московскому времени.


    Сайт Ammyy Admin был взломан как минимум 2 дня
    Зараженный установщик Ammyy Admin, который удалось получить MalwareHunterTeam, был загружен на VirusTotal 20 раз 19 различными пользователями между 14 сентября 07:47:04 и 15 сентября 06:50:39.
    Некоторые пользователи имеют очень полезную привычку проверять загружаемые файлы с помощью сервиса VirusTotal. Таким образом, указанный период вероятно относится к промежутку времени, когда сайт был заражен, и некоторые пользователи смогли проверить файл онлайн.
    Гибридный анализ файла показал, что внутри него расположен бинарный файл под названием “encrypted.exe”, запакованный вместе с оригинальным установщиком AA_v3.exe. Каждый пользователь, который запустит установщик, также автоматически откроет скрытый файл, который установит шифровальщик Cerber.

    Ammyy Admin распространял новейшую версию трояна-шифратора Cerber
    Cerber, обнаруженный в начале года, имеет несколько веток, некоторые из которых были взломаны, после чего исследователи смогли создать дескрипторы, чтобы помочь жертвам трояна восстановить свои файлы.

    [​IMG]

    Файл, распространяемый на сайте Ammyy Admin, содержал последнюю, третью версию, которая после шифрования файлов присваивает им расширение .cerber3. Эта версия еще не была взломана на момент написания статьи.
    Исследователи из MalwareHunterTeam сообщили Softpedia, что они не уведомляли администратора сайта о взломе, и прекращение распространения угрозы могло быть остановлено автоматически. Либо киберпреступники поняли, что они раскрыты, либо решили подготовить новую версию установщика Ammyy, который будет распространять другие виды вредоносных программ.

    Сайт Ammyy Admin успел распространить 6 видов вредоносных приложений
    В прошлом ESET и Kaspersky публиковали отчеты о том, какие виды зловредов распространяет этот сайт. В разное время Ammyy Admin использовался для распространения банковских троянов Ranbyus, Lurk и Buhtrap, троянов CoreBot и Fareit, а также NetWire RAT.
    ESET сообщал, что сайт Ammyy Admin распространял вредоносные программы в октябре и ноябре 2015 года, а Kaspersky упоминает аналогичные инциденты в феврале и июле 2016 года.
    Softpedia запросила комментарии от команды Ammyy Admin. На момент написания статьи файлы сайта являются чистыми, но нет никаких гарантий, что ничего не изменится, учитывая богатое темное прошлое.
    Некоторые пользователи считают, что частые взломы сайта являются чем-то большим, чем простым совпадением.

    Источник: Сайт Ammyy Admin был взломан и распространял шифровальщик Cerber 3
     
    Последнее редактирование модератором: 20 сен 2016
    lilia-5-0, thyrex и SNS-amigo нравится это.
  8. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Судя по некоторым детектам VT, HA и по адресам на скринлоке, это не "официальная" версия цербера, а просто кто-то решил подзаработать. Результаты анализов не совпадают с теми, что я получил на переходном этапе цербера.
    При таком безалаберном отношении команды Ammyy, не удивлюсь, если потом окажется, что их бывший сотоварищ "играется".
     
    lilia-5-0 и Охотник нравится это.
  9. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Cerber Ransomware v.2 и v.3, переходная неназванная версия, в том числе Cerber RaaS продолжают победоносное шествие по планете.

    В настоящее время фиксируются 80000 инфекций в день по сравнению с 6000/день в прошлом месяце.
    Похоже на то, что у Cerber дистрибьюторских филиалов заметно прибавилось.

    Cerber-distrib.jpg Cerber-distrib-graph.jpg
     
    Последнее редактирование: 22 сен 2016
    Охотник и lilia-5-0 нравится это.
  10. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Cerber: Переход к четырёхзнаковому расширению

    У Cerber Rans., после использования расширения .cerber3, наметилась тенденция перехода от статического расширения для зашифрованных файлов к случайному расширению, состоящему из 4 случайных знаков. Имя файла также переименовывается случайным образом.

    Например, если раньше файл назывался бы 5NgPiSr5zo.cerber3, то теперь будет уже типа 1xQHJgozZM.b71c

    Возможно, что это промежуточная версия от 3-й к 4-й, а может проходить и как отдельное направление. Эта версия также включает в себя новую записку с требованиями выкупа, под названием README.hta
    readme_hta.png

    По мнению исследователей, это обновление скажется и на изменениях в конфигурации, в частности на завершении определённых работающих процессов в системе перед началом шифрования, т.к. они могут помешать шифрованию некоторых групп файлов (код обрезан):
    Код (Text):
    "close_process":
    ["msftesql.exe","sqlagent.exe","sqlbrowser.exe","sqlservr.exe","sqlwriter.exe","oracle.exe","ocssd.exe","dbsnmp.exe","synctime.exe","mydesktopqos.exe","agntsvc.exeisqlplussvc.exe","xfssvccon.exe","mydesktopservice.exe","ocautoupds.exe","agntsvc.exeagntsvc.exe","agntsvc.exeencsvc.exe","firefoxconfig.exe","tbirdconfig.exe","ocomm.exe","mysqld.exe","mysqld-nt.exe","mysqld-opt.exe","dbeng50.exe","sqbcoreservice.exe"]
     
    Последнее редактирование: 5 окт 2016
    Охотник нравится это.
  11. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Как показал анализ, новая версия вымогателя отключает не просто больше процессов, а больше процессов, связанных с базами данных. Это процессы msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe и др. из поста выше.

    Таким образом, можно считать фактом, что цель новой версии шифровальщика – охватить при шифровании как можно больше ценной для корпоративной среды информации, чтобы повысить вероятность того, что владелец заплатит за восстановление файлов.
     
    Охотник нравится это.
  12. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Cerber 4.0: уже наверняка

    С переходом вымогательского ПО Cerber к четырёхзнаковому расширению стало понятным, что выдана на-гора 4-я версия.

    О Cerber Ransomware 4.0 из его рекламы, предоставленной разработчиками свои клиентам:
    – FUD на топовых антивирусах (скантайм / рантайм);
    – Обход мониторинга активности (массовое изменение, обход ханипотов и т.д.);
    – Обход всех известных anti-ransomware программ;
    – Работает 5 крипторов 7 дней в неделю;
    – Обновленный морф;
    – Новые инструкции на 13 языках + новый фон;
    – Синхронизация доменов через блокчейн (больше не важно забанили домен лендинга или нет);
    – Рандомное расширение для шифрованных файлов, обновленный алгоритм шифрования;
    – Новые типы файлов для шифрования;
    – Закрытие запущенных процессов всех топовых баз данных;
    – Обновленный JS Loader;
    – Новые onion домены и многое другое.

    Популярность RaaS Cerber 4 растет ежечасно. Распространяется с помощью наборов эксплойтов (RIG, Magnitude, немного Neutrino), в том числе в известной вредоносной кампании PseudoDarkleech, а также с помощью "Casino" Malwertising, "NeutrAds" Malwertising, Fake AD, Andromeda, Betabot и др.

    Целевые страны: США, страны Азии (Тайвань, Корея, Гонконг, Сингапур и Китай) и Европы (Германия, Испания, Польша, Великобритания, Франция и др.).

    Отчёт Trend Micro
     
    Последнее редактирование: 13 окт 2016
  13. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.467
    Симпатии:
    861
    Шифровальщик Цербер теперь показывает номер своей версии в записках с требованием выкупа


    Шифровальщик Цербер 4 версии был выпущен относительно недавно, но теперь номер его версии отображается в записках с требованием выкупа, а также в качестве фона рабочего стола. До этого единственным способом определения версии шифровальщика Цербер было его расширение, которое он добавлял к зашифрованным файлам. Сейчас эта информация отображается в записках с требованием выкупа, как показано ниже:


    [​IMG]
    Рис. 1 Фон рабочего стола, на котором отображается версия шифровальщика
    Примечание: Вскоре после публикации этой статьи была обнаружена более новая версия 4.1.1!


    Как и в предыдущих версиях, эта версия продолжает использовать расширение для зашифрованных файлов, которое основано на значении параметра MachineGuid ключа реестра HKLM\Software\Microsoft\Cryptography.

    По даннымFortinet:


    В то время как основная записка с требованием выкупа по-прежнему отображается, как HTA файл с именем Readme.hta, есть некоторые и другие различия, которые происходят в фоновом режиме. Например, последние версии Цербера перешли на новый диапазон IP-адресов, на которые он будет отправлять UDP пакеты для статистических целей. Диапазон IP адресов 194.165.16.0/22:

    [​IMG]
    Рис. 2 Статистика отправленных UDP-пакетов Цербером ​

    Наконец, в этой версии я заметил HTTP-запрос, выполняемый к Bitcoin бирже через браузер:

    Код (Text):
    http://btc.blockr.io/api/v1/address/txs/17gd1msp5FnMcEMF1MitTNSsYs7w7AQyCt?_=1478029284382
    Этот URL-адрес возвращает JSON-документ, который содержит сведения о транзакциях для bitcoin кошелька 17gd1msp5FnMcEMF1MitTNSsYs7w7AQyCt. Небольшой фрагмент возвращаемой информации представлен ниже:


    Код (Text):
    {"status":"success","data":{"address":"17gd1msp5FnMcEMF1MitTNSsYs7w7AQyCt","limit_txs":200,"nb_txs":81,"nb_txs_displayed":81,"txs":[{"tx":"2af89aa42c1661b149415dc31d1a67fff606d00736845a2d6643cebc8e8f711f","time_utc":"2016-10-30T11:52:50Z","confirmations":385,"amount":0.48359753,"amount_multisig":0},{"tx":"c7ec1553d486beed27123e8b6ef2e4b3c6e310049a2f8f1f643c9b15d63d3d3d","time_utc":"2016-10-30T11:44:49Z","confirmations":386,"amount":-0.48408129,"amount_multisig":0},{"tx":"113728d40cf8954c1912f7a5cb42036c3e5e78c966b2f7172f2f9a068f1a31fe","time_utc":"2016-10-29T10:38:35Z","confirmations":541,"amount":0.48408129,"amount_multisig":0},{"tx":"ee8429feb86684ffcd53566ffacb50be720e80ceff5309fcdef3384344439584","time_utc":"2016-10-29T10:36:52Z","confirmations":542,"amount":-0.4844971,"amount_multisig":0},{"tx":"cf1f7243ab0ee6a1f1d8df0640f8bf0aa29988400225692d15d4762f482b1a2c","time_utc":"2016-10-27T10:18:47Z","confirmations":851,"amount":0.4844971,"amount_multisig":0},
    В настоящее время неизвестно, какова цель этого запроса.

     
    akok нравится это.

Поделиться этой страницей